상세 컨텐츠

본문 제목

마이크로소프트, 윈도우 Hello의 인증 취약점 수정

국내외 보안동향

by 알약4 2021. 7. 14. 14:00

본문

 

 

Microsoft fixes Windows Hello authentication bypass vulnerability

 

마이크로소프트가 생체 인식 기반 인증 기술인 윈도우의 Hello 내 보안 우회 취약점을 패치했습니다.

 

이 취약점을 악용할 경우 공격자는 타깃의 ID를 스푸핑하고 얼굴 인식 메커니즘을 속여 시스템에 접근할 수 있었습니다.

 

마이크로소프트에 따르면, 비밀번호 대신 윈도우 Hello를 사용하여 기기에 로그인하는 윈도우 10 사용자의 수는 지난 2019년 동안 69.4%에서 84.7%로 증가했습니다.

 

악용에 물리적 접근 필요해

 

CyberArk Labs의 보안연구원들이 발견한 바와 같이, 공격자는 타깃의 유효한 단일 IR(적외선) 프레임을 사용하여 Hello의 안면 인식 기능을 완전히 우회할 수 있는 커스텀 USB 기기를 만들 수 있습니다.

 

Tsarfati는 지난 3CVE-2021-34466로 등록된 이 취약점을 마이크로소프트 측에 제보했으며, 해당 취약점은 심각도 중요로 평가되었습니다.

 

마이크로소프트는 인증되지 않은 공격자가 이 취약점을 악용하고자 할 경우 타깃 기기에 물리적으로 접근해야 한다고 밝혔습니다.

 

“기기에 물리적으로 접근할 수 있는 공격자는 이 취약점을 통해 타깃의 얼굴 사진을 캡처 또는 제작해 커스텀 USB 장치를 연결하여 스푸핑된 이미지를 인증 호스트에 삽입해 인증 프로세스를 조작할 수 있습니다. 이 취약점이 실제 공격에 악용되었다는 증거는 없지만, 악의적 동기를 가진 공격자가 연구원, 과학자, 언론인 활동가, 권한을 가진 사용자를 타깃으로 사용이 가능합니다.”

 

 

<이미지 출처: https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery>

 

 

마이크로소프트는 20217패치 화요일을 통해 CVE-2021-34466 취약점을 해결하는 윈도우 10 보안 업데이트를 공개했습니다.

 

마이크로소프트는 향상된 로그인 보안을 지원하는 생체 인식 센서 하드웨어와 드라이버를 사용하는 윈도우 Hello 고객은 이 취약점을 악용한 공격에 노출되지 않는다고 밝혔습니다.

 

또한 사용자에 기기의 향상된 로그인 보안 상태에 대해서는 각 장치 제조 업체에 문의할 것을 당부했습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/microsoft-fixes-windows-hello-authentication-bypass-vulnerability/

https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery

관련글 더보기

댓글 영역